Вирусы оседлали потоки

" Лаборатория Касперского " сообщила о появлении вредоносных программ, использующих принципиально новый способ размножения. В отличие от существовавших ранее способов заражения файлов (добавление тела вируса в начало, конец или любое другое место тела программы), они использует возможность файловой системы NTFS (ОС Windows NT/2000), поддерживать множественные потоки данных.

Напомним, что в ОС Windows 95/98 (файловая система FAT) внутренняя структура программы представлена лишь одним потоком - собственно ее телом. А в Windows NT/2000 (NTFS) таких потоков может быть много - как независимых программных модулей, так и разнообразной дополнительной служебной информации (права доступа к файлу, отметки о шифрование, времени обработки и т. д.).

Микроб W2K.Stream, созданный в конце августа двумя хакерами из Чехии, "жизнеспособен" в любой операционной системе с NTFS. Для заражения файлов вирус создает дополнительный поток под именем STR, куда и переносит оригинальное содержимое программы. После этого он записывает в основной поток свое тело. Таким образом, при запуске зараженного кода сначала будет выполняться поток с вирусом. После окончания работы этот поток передает управление "родительской" программе.

"Данный "продукт", несомненно, открывает новую страницу в истории компьютерных вирусов, - утверждает Евгений Касперский. - Технология внедрения в файлы при помощи замещения потоков делает процесс обнаружения и удаления вирусов исключительно сложным". Тем не менее процедуры защиты от вируса W2K.Stream добавлены в очередное ежедневное обновление антивирусной базы AVP.

← август 2000

1 4 5 6 7 8 11 12 13

октябрь 2000 →